PowerScale : Comment désactiver/activer le chiffrement SMB ainsi que d’autres informations dans les versions SMB2/SMB3

Nous pouvons exécuter la commande ci-dessous à partir d’un nœud, et elle indique la version du protocole SMB utilisée par les clients. C’est pendant qu’ils sont connectés à ce nœud.

# isi smb sessions list --verbose --format=table

Activation du chiffrement SMB3 dans un cluster :

Par défaut, le chiffrement SMB3 est désactivé. Pour activer le chiffrement SMB3 et autoriser les clients chiffrés et non chiffrés à accéder au serveur :1

. Accédez à Protocols > Windows Sharing (SMB) >Server Settings.
2. Dans la section Encryption, sous Enable encryption on Encryption-enabled SMB clients, sélectionnez Use Custom.
3. Cochez Enable encryption on encryption-enabled SMB clients.

L’accès aux clients chiffrés et non chiffrés est autorisé.

PowerScale OneFS ne contient aucun paramètre permettant d’autoriser uniquement les clients SMB3 et de refuser les connexions clientes SMB2. Toutefois, avec l’option « Rejeter l’accès non chiffré », SMB2 ne se connecte pas comme expliqué ci-dessous.
Comme nous pouvons le voir dans l’exemple ci-dessous, l’option « Rejeter l’accès non chiffré » est activée par défaut. Cela signifie que si un trafic non chiffré est détecté (UNIQUEMENT lorsque le chiffrement SMB3 est activé), il rejette à la fois le trafic SMB2 et SMB1.

Commande permettant de vérifier globalement les paramètres SMB :

# isi smb settings global view
    Access Based Share Enum: No
  Dot Snap Accessible Child: No
   Dot Snap Accessible Root: Yes
     Dot Snap Visible Child: No
      Dot Snap Visible Root: Yes
Enable Security Signatures: No
                 Guest User: nobody
                 Ignore Eas: No
       OneFS CPU Multiplier: 4
          OneFS Num Workers: 0
  Reject Unencrypted Access: Yes <<<<<<<<<<<<<<
Require Security Signatures: No
           Server Side Copy: Yes
              Server String: PowerScale Server
       Support Multichannel: Yes
            Support NetBIOS: No
               Support SMB2: Yes
    Support Smb3 Encryption: No   <<<<<<<<<<<<<

Étant donné que le chiffrement SMB3 est désactivé par défaut, l’option « Rejeter l’accès non chiffré : Yes ' n’est pas efficace. Une fois le chiffrement SMB3 activé, il est effectif.
Pour plus d’informations sur le chiffrement, reportez-vous au document « Conception et considérations PowerScale pour SMB », ci-joint. 

Si les administrateurs souhaitent éviter que les connexions SMB2 ne soient rejetées lorsque le chiffrement SMB3 est activé, ils peuvent modifier l’attribut « Rejeter l’accès non chiffré » sur « non » (désactivé). Cela autorise les connexions SMB2 tandis que les connexions SMB3 sont chiffrées en fonction des paramètres. Ce paramètre peut également être défini globalement, au niveau d’une zone spécifique ou pour un partage particulier.

Si nous « exigeons » le chiffrement en définissant (globalement ou sur une zone d’accès) les deux paramètres sur « Oui », comme ci-dessous :

Support Smb3 Encryption: Yes
  Reject Unencrypted Access: Yes

Le paramètre de partage « Chiffrement SMB3 activé » est implicitement défini sur « Oui », c’est-à-dire que le chiffrement est activé sur tous les partages, quel que soit ce paramètre au niveau du partage. En bref, « si nous avons besoin d’un chiffrement, nous l’activons aussi implicitement ».

Il est recommandé de le tester sur un partage de test désigné avant de le mettre en œuvre globalement ou au niveau d’une zone spécifique.

https://www.delltechnologies.com/asset/en-us/products/storage/industry-market/h17463-powerscale-design-and-considerations-for-smb.pdfVoir page 36.

PowerScale : Hub d’informations sur les mises à niveau de OneFS

Informations supplémentaires de Microsoft :
https://cloudblogs.microsoft.com/windowsserver/2012/04/19/smb-2-2-is-now-smb-3-0/